Tipping Point

当前位置: 首页 > Tipping Point

    TippingPoint隶属于HP公司,是业界基于网络的入侵防御系统的领先的厂商。TippingPoint的入侵防御系统能够防御针对操作系统、Web应用、数据库等系统漏洞的攻击,如SQL injection、PHP include;检测并拦截蠕虫、病毒、木马、后门程序、间谍软件;管理IM、P2P、流媒体应用;防御分布式拒绝服务攻击。通过深达第七层的流量侦测,TippingPoint的入侵防御系统主动阻断恶意流量以避免损失的发生。TippingPoint提供的数字疫苗服务能够令客户的入侵防御系统能及时地获得各种攻击过滤器的更新来防御零时差攻击。在提供高安全性的同时,TippingPoint的入侵防御系统是目前唯一获得业界第三方权威评测机构NSS IPS评测金奖、通过ICSA IPS权威认证,能够提供微秒级延时、高达5G的吞吐功能的主动式入侵防御系统。

    由于TippingPoint在2002年建立了第一个基于网络的入侵防御系统而成为了IPS市场的先驱,并且它通过第一个将创新的IPS特征比如间谍软件防护和多路千兆吞吐量市场化 来继续领导着这个领域。TippingPoint是唯一提供VoIP安全、带宽管理、层对层保护以及以在安装之后无需调整的默认的“推荐配置”来准确地阻 隔恶意流量等这些所有功能的入侵防御系统。
 



TippingPoint IPS
 

    长久以来,网络使用者和管理员被这些麻烦所困扰:网络屡遭攻击后需要进行大量的清理工作但无法彻底清理干净而复发;需要在短时间内紧急为大量的服务器打补丁以避免危害面积扩大;泛滥的P2P、IM等“流氓”流量大量侵占了宝贵的带宽使得关键业务中断;DoS/DDoS攻击致使Internet通路堵塞并且导致关键服务器宕机。

    入侵检测系统(IDS,Intrusion Detection System)并不能真正解决这个难题,因为IDS只能够检测到攻击而不能采取任何主动的防御行为,只适合在某些主要需求为流量监控、分析与回放的情况下部署。而TippingPoint IPS工作于“在线模式”(in-line),即透明地部署到网络当中,对所有流经的流量进行深度分析与检测,实时阻断攻击,同时对正常流量的通过不产生任何影响。
 

    TippingPoint提供业界性能最佳的产品。在数千兆速率上拦截网络攻击,并且保证极低的延迟需要精心打造的专用硬件,而目前,只有TippingPoint采用了这种真正的入侵防御所需要的、革命性的架构设计。传统的软件加服务器解决方案依赖通用硬件和处理器,事实证明不能在兼顾安全的同时保证网络性能不下降。经过严格的第三方测试,TippingPoint已经证明其能够在数千兆的速率网络环境中完成入侵防御任务,并且具有极高的攻击拦截精准度。TippingPoint已被证实为业界最安全、性能最佳的入侵防御系统。
 

目标客户


    所有需要保护应用安全的用户都需要IPS,如数据中心、网管中心、网络银行、在线交易系统等,典型的行业包括电信、金融企业(银行、保险、证券、基金公司等)、大型企业、制造业、医疗机构以及教育机构等。


用户为何需要IPS
 

各行业的用户都面临下列问题:

1、主机系统的安全性:网内的设备和系统越来越多,而这些设备和系统使用的操作系统、数据库、和各种应用软件可能存在软件弱点/漏洞。
 

2、仅有防火墙和IDS是不够的:现在我们已经使用了防火墙和IDS作为安全防护工具,但是,现有的防火墙工作在L3-L4,仅能够完成访问控制,对于数据流不进行深度报文检测,所以对于第一点中提到的应用层面(L7)的攻击不能够进行识别,而采取将数据库端口在防火墙上封死的做法显然会影响正常业务;另一方面IDS的特征库如果够新,可以检测到攻击,但是必须人为进行干预,及时性和有效性没有保证,此外,现有的IDS存在较多误报,可操作性不好。
 

3、系统补丁测试、部署问题:由于现有的防火墙和IDS不能够有效拦截应用层面的攻击,所以必须及时为系统打补丁,但是由于系统较多,测试补丁需要时间和人力、打补丁的压力很大,如何既保证服务器的安全,又避免因打补丁影响系统运行,必须十分慎重,更复杂的问题是,有些应用程序可能在操作系统、数据库打补丁后不能正常运行了。而另一方面,从权威分析机构,如CERT的分析报告看,攻击越来越呈现零日攻击的趋势,即从漏洞被公布到攻击发生之间的时间差可能不到24小时,而如果没有补丁可用或者还没有来得及打补丁,则系统被攻击的潜在风险很大。
 

4、终端的安全性:现在都采用笔记本电脑或者PC作为操作终端,而且很多网管系统采用浏览器方式,而浏览器被证实存在许多系统漏洞,如IE去年就被发现了30个漏洞,而Mozilla Firefox更高达45个(数据来源Frost&Sullivan系统弱点分析报告06)。如果不能严格做到访问内部系统的终端不用浏览器访问Internet站点,就存在浏览器漏洞被利用,进而通过控制这些终端侵入内网系统的可能,例如,通过VPN接入内网的远程技术支持人员的浏览器就存在上述风险,而VPN仅解决数据加密、身份认证问题,并不能够保证接入设备符合安全规范。


解决方案

 

    应对目前和未来几年安全防护方面的挑战,我们需要超越现有的FW+IDS的设计思路,评估目前较成熟的新的安全防护技术并考虑到未来若干年技术发展趋势,从我们的实际需要出发,制定出一套较为有效的、可行的技术方案:

1、增强远程接入的安全性:采用SSL VPN结合短信平台实现双因数身份认证、鉴权、数据加密,满足远程接入维护的需要。
 

2、增加应用层面的防护设备:采用基于网络的入侵防御系统—IPS,在线部署在网络的关键位置,实时地对流量进行深度分析,及时发现并拦截各种针对主机漏洞的攻击,最大限度地减少人为干预,解决以前IDS日志需要大量人力监控的问题;IPS将攻击成功拦截后,即使后面的主机还没有打补丁,也不会受到攻击,实际上起到了虚拟软件补丁的作用,为在主机上实际补丁的测试和部署争取了时间,实现零日攻击防御、更可以解决那些因各种限制无法打补丁的系统的安全问题;对于网络终端,特别是通过VPN远程接入的终端可能引入的攻击也将被IPS拦截。
 

3、加强日志审计和关联分析:利用现有的日志分析系统或者增加一套新的日志审计和关联分析系统,收集FW、IPS、VPN、系统主机的事件日志进行关联分析,总结事件间的逻辑关系,对异常和攻击行为进行审计。例如,IPS检测并拦截攻击后,将攻击源的IP地址等信息报送到日志审计和关联分析系统,该系统查询FW或者VPN的会话记录,从而准确地定位出攻击源是通过FW还是VPN进入的。此外,还可以考虑利用该系统进行工单操作审核,例如,网络设备将配置变更记录报给日志审计和关联分析系统,该系统将数据和工单审批系统中的数据进行比对,检查是否有违规操作的问题。
 

4、部署和运行维护方面的考虑:整个方案应该易于部署和维护。部署应考虑不影响现有的网络架构,尽量不改动现有的网络配置,特别是要求IPS应该支持透明部署模式;维护方面,IPS的攻击特征库更新必须是自动和及时的、安全策略设置应提供推荐配置,不需要大量认为调整,应该是一个专家系统,日志审计和关联分析和接入控制系统也应该是自动化的,减少人为操作出现错误的可能性。